Présentation
En anglaisRÉSUMÉ
La protection des informations sensibles peut être mise à mal par des fuites électromagnétiques de systèmes électroniques traitant ces informations. La gestion de ce risque d’espionnage électromagnétique constitue le domaine TEMPEST, domaine de la protection des informations sensibles récupérables à distance par rayonnement électromagnétique ou conduction électrique. Cet article présente la possibilité d’interception par un individu hostile d’informations traitées par des appareils électroniques, la création et l’analyse des signaux parasites compromettants, leur caractérisation et leur réduction. Les points communs et les différences entre le domaine TEMPEST et le domaine CEM sont discutés.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
Protection of sensitive information can fail because of electromagnetic leakage emitted by electronic system treating this information. Management of the electromagnetic spying risk constitutes the TEMPEST domain, to protect sensitive information which can be recovered at distance by electromagnetic radiation or electric conduction. This article shows for a hostile people the possibility to get information treated by electronic devices, the creation and analysis of the compromising emanations, their characterization and their reduction. Equivalences and differences between TEMPEST domain and EMC domain are shown.
Auteur(s)
-
Alain ALCARAS : Expert Radio/CEM - Direction technique, Thales/SIX/RCP/TAP, Cholet, France
-
Jean-François GAENG : Expert TEMPEST - Thales/SIX/ITS/DES, Gennevilliers, France
INTRODUCTION
Le risque TEMPEST concerne la problématique d’anticompromission électromagnétique, c’est-à-dire la fuite électromagnétique d’informations confidentielles et la capture des signaux compromettants associés à ces informations par des personnes mal intentionnées.
Les victimes de cet espionnage électromagnétique sont les utilisateurs d’informations confidentielles traitées dans un système opérationnel civil ou militaire via des équipements électriques ou électroniques. Ces informations sont transformées en des signaux électriques compromettants dans les équipements. Puis, par les phénomènes de couplages électrique et électromagnétique, ces signaux transformés fuient hors d’un périmètre sécurisé, et peuvent être interceptés par des individus hostiles.
Après la partie 1 introduisant le domaine TEMPEST, la partie 2 présente des exemples concrets de risque d’interception TEMPEST d’informations confidentielles.
Puis, la partie 3 décrit la phénoménologie du risque TEMPEST par les topologies de couplage entre les signaux confidentiels et les fuites hors du périmètre de sécurité. Il est indiqué la définition des termes propres aux risques TEMPEST partagés par les experts du domaine et dans les normes TEMPEST.
Pour réduire ou éliminer ces risques, les parties 4 et 5 présentent la conduite des analyses théoriques de risque et des validations de performance au niveau système, sous-système et équipement. Ces deux parties présentent les processus d’ingénierie TEMPEST, les méthodes et les moyens d’étude (calculs/simulations) et de validation (essais/mesures).
La partie 6 traite des normes françaises et internationales qui encadrent et guident le domaine TEMPEST.
La partie 7 propose une description comparative entre les risques/activités TEMPEST et les risques/activités en CEM. Cette comparaison montre que le domaine TEMPEST fait partie du domaine de la CEM au sens large ; une partie des moyens, méthodes et normes TEMPEST est empruntée au monde de la CEM. En particulier, les compétences et les expertises TEMPEST nécessitent principalement des qualifications et des expériences en CEM, ainsi que des connaissances en radio et en traitement du signal.
Le lecteur trouvera en fin d'article les sigles utilisés.
MOTS-CLÉS
KEYWORDS
TEMPEST | electromagnetic compromising countermeasures | CEM
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Électronique - Photonique > Électronique > Compatibilité électromagnétique dans les systèmes électroniques > Espionnage électromagnétique - Risques, étude, validation et normes TEMPEST > TEMPEST versus CEM
Accueil > Ressources documentaires > Technologies de l'information > Sécurité des systèmes d'information > Cybersécurité : attaques et mesures de protection des SI > Espionnage électromagnétique - Risques, étude, validation et normes TEMPEST > TEMPEST versus CEM
Cet article fait partie de l’offre
Sécurité et gestion des risques
(475 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
7. TEMPEST versus CEM
Le domaine TEMPEST est parfois considéré comme un des domaines de la CEM au sens large par les points communs, mais parfois considéré aussi à part. Il est proposé dans les paragraphes suivants de présenter les aspects communs et ceux qui diffèrent.
7.1 Comparaison des risques
Par définition, la CEM traite des risques de perturbation de fonctionnement à cause des environnements électromagnétiques et électriques des équipements et des systèmes, ces environnements étant subis ou créés par ces équipements ou par d’autres phénomènes naturels ou artificiels. Pour tous les domaines de la CEM, on peut ainsi désigner des sources perturbatrices et des victimes de ces perturbations, que ce soit intentionnel ou non. Le risque TEMPEST peut aussi être caractérisé par des sources et des victimes, mais pas en termes de perturbateur ou de perturbé. La victime du risque TEMPEST est l’information rouge sensible et la source est la personne hostile qui essaie de capter cette information hors des zones de sécurité.
Que ce soit en rayonnement ou en conduction, le risque concerne exclusivement les émissions parasites. Il n’y a pas de notion de susceptibilité.
En CEM, les caractéristiques des signaux parasites émis par un produit sont considérées vis-à-vis des effets de susceptibilité que cela peut provoquer (perturbation de fonction ou destruction de composant).
En TEMPEST, les caractéristiques des signaux parasites émis sont considérées vis-à-vis de l’information compromettante qui existe ou non dans ces signaux. De ce fait, la caractérisation TEMPEST des SPC émis nécessite des outils théoriques et expérimentaux en traitement de signal supplémentaires à ceux utilisés en CEM.
HAUT DE PAGE7.2 Comparaison des processus et des outils d’analyse/conception
À partir d’un signal rouge, le processus de création de SPC, leur propagation par couplage, par conduction, ou par rayonnement, sont communs à ce qui crée les parasites en CEM.
En ce sens, les outils et les méthodes pour réaliser les études théoriques de ces phénomènes sont identiques dans les 2 domaines pour quantifier le risque a priori :
-
résolution...
Cet article fait partie de l’offre
Sécurité et gestion des risques
(475 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
TEMPEST versus CEM
BIBLIOGRAPHIE
ANNEXES
Norme de test TEMPEST OTAN : SECAN Doctrine and Information Publication (SDIP 27), TEMPEST Requirements and Evaluation Procedures.
Norme de test TEMPEST UE : Information Assurance Security Guidelines (IASG 7-03), TEMPEST Requirements and Evaluation Procedures.
Directive de zonage TEMPEST France : Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN)/Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) – Directive N° 495 de zonage TEMPEST.
Norme de zonage TEMPEST OTAN : SECAN Doctrine and Information Publication (SDIP-28), NATO Zoning Procedures SDIP-28.
Norme de zonage TEMPEST UE : Information Assurance Security Guidelines (IASG 7-02), Zoning Procedures.
Directive d’installation TEMPEST France : Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN)/Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) – Directive d’Installation N° 485 des sites et systèmes d’information.
Norme d’installation TEMPEST OTAN : SECAN Doctrine and Information Publication (SDIP-29), Facility Design Criteria and Installation of equipment for the processing of Classified Information SDIP-29.
Norme d’installation TEMPEST UE : Information Assurance Security Guidelines (IASG 7-01), Selection and Installation of TEMPEST equipment.
HAUT DE PAGECet article fait partie de l’offre
Sécurité et gestion des risques
(475 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive